1、增强刑事合规计划完整性和有效性。
首先,就企业风险范围言,企业内控的风险范围包括刑事合规的风险范围,故参照内控风险类型设计 风险识别和控制程序能够确保刑事合规计划完整性。虽然有观点认为要将企业合规的风险限制在特定范围内,即:“企业合规所要防控的既不是企业的经营风险和财务风险,也不是一般意义上的法律风险,而是受行政或者刑事处罚的一种合规风险。”但是,在既有官方的规范性文件中,合规风险的内容范围远大于这种“受处罚的风险”,其还包括重大财务损失和声誉损失的风险。这一点在国资委2018年发布《中央企业合规管理指引(试行)》的第二条以及上述文件中均有一致性的表述。该指引第二条规定:“本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性” 。该指引第三条将合规风险定义为“因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险” 。由此,合规风险在内容的范围上基本涵盖在《企业内部控制基本规范》第三章所规定的风险范围中。
其次,刑事合规计划有效性问题可以通过审计评估、稽核调查等方式予以监督,这进一步解决了刑事合规部门监督考核问题,并督促其提升工作绩效;再者,由于企业内部控制信息披露等等制度相较于刑事合规更为成熟,故援引企业内控评价体系与监督机制,可以建立包括企业刑事合规信息披露制度等,这从纵深上打开了企业的刑事合规与其它制度之间的融合,也促使整个企业之间提升对合作伙伴的审核评估质量。将刑事合规尽职调查、刑事合规信息披露等作为企业管理合作伙伴的重要附随制度,将
开启全新的企业权益保护之门。
最后,企业内部管理制度可以为刑事合规的执行提供程序基础。在既有的企业管理中,业务流程的可操作性和管理效率一直是企业不断优化的板块,随着企业刑事合规制度得以设立,企业只需要在特定的控制节点上设置刑事合规风险识别和控制节点即可。列如,在企业采购业务流程中,可以将刑事合规风险评估节点设置在业务提起节点之后实际履行之前,同时在流程发起之前设置犯反商业贿赂等提示,并在流程终止后设置相应的核查节点。一是对员工起到风险提示义务,二是及时将不法风险与自身进行割离,防止企业因内部或者外部原因而陷入刑事法律风险之中。
2、提升刑事合规计划清晰性和全面性。
依托内控基本要素设计的刑事合规计划类型要素清晰且利于设计管理流程。在内部控制五要素中,各个要素之间逻辑相对清晰且内容全面,刑事合规计划可以参照该五个要素设计自己的控制内容。例如,设计总则一章,内容涵盖刑事合规的基本目的以及原则,主要包括高层与员工的合规承诺等;又如企业
设置企业刑事合规内部环境一章,在其下设置刑事合规管理部门、人力资源、企业刑事合规培训以及合规文化塑造等主要内容。特别的,在企业原有的内控基本要素管理流程中嵌入刑事合规管理则比重造一份管理系统更为有效,这一方面节省了公司管理成本,另一方面则有利于促进风险防控与一线业务的结合,增加刑事合规的绩效产出。
3、警惕“形式合规”,健全内部控制。
以内部控制为引导构建起来的刑事合规计划具备较强的管理属性,强调执行效率和监督考核,但同时容易陷入盲目执行的“形式合规、纸面合规”困境,从而缺乏对刑事法律风险的灵活应对,为此要灵活调整刑事合规计划。如引用重要性原则的贯彻方法与程序,对刑事合规计划予以调整,则有助于增加刑事合规计划与业务管理等企业要素之间的相称性。但是,由于重要性原则具有较强的主观性,因此容易存在因对风险的识别和处理判断不客观而漏掉部分重要风险的情况。对该问题的解决可以借鉴风险导向审计中对重要性原则的应用原理予以弥补。在风险导向审计中,评价重要性标准除了要关注错报的
数额,还要关注错报的性质;同时,重要性的判断还关系到审计程序的选择、审计内容的设计等等。由此,刑事风险的遗漏重要性评估及应对程序也可借鉴此设计予以弥补。例如,在实务中,从定性分析角度,在业务流程中结合经验数据将某一数额之上的交易单独划入特殊的审批程序;从定量角度,将一些特殊交易如关联交易等单独列入合规审批,以防范可能发生的合规风险。
另外,可以充分利用刑事合规整改健全企业内控。首先,企业刑事合规建设为企业完善内部控制提供了额外的动力保障。目前在内控失灵方面的研究多将控制的动力局限在企业内部,很难获得新的突破。刑事合规由于具备国家刑法的激励作用,在将刑事合规纳入内控建设的场合能够有效提升企业完善内控的动力。其次,企业刑事合规建设的诸多方面与内控完善的路径相关联,前者的建设可以反作用于后者的完善。例如,在一起非法经营罪案例中,企业的合规整改措施就包括完善公司治理和管理结构,具体如股东的更换、由股东担任公司监事并兼任合规管理人员,加强法律教育培训、制定员工手册等等。